Možete pogledati pravila i propise u drugim jurisdikcijama.
Fintech tvrtke prikupljaju, kontroliraju i obrađuju ogromne količine osobnih podataka (uključujući KYC podatke) i kao rezultat toga podliježu pravilima o privatnosti prema Općoj uredbi o zaštiti podataka (GDPR), koja se ne odnosi samo na etablirane fintech tvrtke. u EU, ali i tvrtkama s poslovnim nastanom izvan EU ako imaju klijente u EU i obrada osobnih podataka kupaca se provodi u kontekstu pružanja usluga tim subjektima podataka, bez obzira na to je li potrebno plaćanje iz podataka subjekt. Europski odbor za zaštitu podataka (EDPB) pojasnio je u svojim Smjernicama 3/2018 o teritorijalnom opsegu GDPR-a, usvojenim 16. studenog 2018., da je namjera ciljanja kupaca u EU ključna za procjenu jesu li subjekti osnovani izvan teritorija EU-a podložni prema GDPR-u.1
Nekim slučajevima za obradu osobnih podataka može biti potreban pristanak klijenta. Unaprijed označena polja za pristanak ili isključivanje više neće biti dopuštena jer pristanak mora biti u obliku izjave ili jasne potvrdne radnje. GDPR nameće opterećujuće obveze odgovornosti voditeljima obrade podataka u vezi s dokazima o usklađenosti, što predstavlja veliku promjenu paradigme u režimu zaštite podataka. To uključuje provođenje procjena učinka zaštite podataka za višerizične postupke obrade (kao što su oni koji uključuju obradu osobnih podataka koji bi se mogli upotrijebiti za počinjenje financijske prijevare) i implementaciju zaštite podataka prema dizajnu i prema zadanim postavkama.1
Ova opća pravila o zaštiti podataka dopunjena su pravilima o bankovnoj tajnosti i AML-u kojih će se fintech tvrtke morati pridržavati kada pružaju usluge svojim klijentima.1
Pravila bankovne tajne navode da je otkrivanje osobnih podataka klijenata zaštićenih bankovnom tajnom (uključujući prekogranične prijenose) dopušteno samo uz prethodno dopuštenje klijenta ili ako je otkrivanje potrebno za postizanje jedne od sljedećih radnji:
U prošlosti je portugalsko tijelo za zaštitu podataka (CNPD) presudilo u konkretnom slučaju da svi osobni podaci koje banka obrađuje podliježu bankovnoj tajnosti.1
Što se tiče obrade podataka o klijentima za potrebe prijave AML-a, otkrivanje specifičnih relevantnih osobnih podataka temelji se na ispunjavanju zakonske obveze i stoga nema potrebe za dobivanjem privole nositelja podataka. Budući da se koncept "dopuštenja korisnika" prema PSEMLF-u i pravnom okviru financijskih institucija razlikuje od koncepta "pristanka" prema GDPR-u, mnoge banke i druge financijske institucije odlučuju prikupljati dopuštenja korisnika za otkrivanje informacija o bankovnoj tajnosti u kontekstu njihovih općih uvjeta klijenta.1
Još jedan važan aspekt obrade podataka u kontekstu fintech poslovanja je profiliranje kupaca i segmentacija poslovanja, kao i automatizirano donošenje odluka na temelju profiliranja. Nisu dopuštene automatizirane odluke koje utječu ili značajno utječu na nositelja podataka, temeljene isključivo na automatiziranoj obradi podataka namijenjenoj procjeni određenih osobnih aspekata koji se tiču njega ili nje.1
GDPR je uveo nove odredbe za rješavanje rizika povezanih s profiliranjem i automatskim donošenjem odluka. U osnovi, prema GDPR-u, ova vrsta odlučivanja može se dogoditi samo ako je odluka nužna za sklapanje ili izvršenje ugovora, ili ako je dopuštena pravom EU-a ili države članice koje se primjenjuje na voditelja obrade, ili se konačno temelji na izričitom suglasna lica. Ako se primjenjuje jedan od ovih temelja, moraju se uvesti dodatne sigurnosne mjere, kao i otkrivanje određenih informacija o automatiziranom pojedinačnom donošenju odluka pogođenim subjektima podataka u vezi s logikom, značenjem i namjeravanim posljedicama. U siječnju 2020., kao odgovor na pismo europarlamentarke Sophie in 't Veld o nepoštenim algoritmima u vezi s tim je li GDPR dovoljan za zaštitu ispitanika od nepravednog automatiziranog donošenja odluka, EDPB je naglasio da "kontrolori imaju obvezu razmotriti sve potencijalne rizike koje bi uporaba ili izrada određenog algoritma potencijalno mogla stvoriti za prava i slobode pojedinaca, te po potrebi poduzeti mjere za uklanjanje tih rizika.”1
Postoje i dodatna ograničenja za upotrebu posebnih kategorija podataka (kao što su zdravstveni podaci ili biometrijski podaci) za bilo kakvu obradu osobnih podataka, što u konačnici može utjecati na to kako fintech tvrtke provode snažne mehanizme autentifikacije kupaca u skladu s regulatornim tehničkim standardima PSD II. , jer regulatorni tehnički standardi zahtijevaju korištenje biometrijskih podataka korisnika platnih usluga u ovom kontekstu. CNPD je dosljedno presuđivao da su financijski podaci osjetljivi podaci u smislu da otkrivaju aspekte privatnog života osobe i stoga moraju biti zaštićeni portugalskim Ustavom. Budući da EDPB također tretira financijske podatke kao izrazito osobne podatke, to u konačnici može utjecati na strogost tehničkih i organizacijskih mjera koje voditelji obrade podataka i izvršitelji obrade poduzimaju za zaštitu podataka, kao i na potrebu podvrgavanja provjeri podataka. procjena utjecaja zaštite (DPIA) prije obrade podataka. Stoga obrada financijskih podataka može dovesti do potrebe za DPIA-om u skladu s CNPD Uredbom 1/2018, koja navodi aktivnosti obrade koje potpadaju pod obveznu DPIA, budući da se Uredba odnosi na obradu podataka isključivo osobne prirode. u četiri od devet slučajeva.1
Ne dovodeći u pitanje prethodno navedeno, portugalsko zakonodavstvo kojim se provodi GDPR stupilo je na snagu 8. kolovoza 2019. Zakon br. 58/2019 uvodi neke dodatne prilagodbe i ograničenja pravila utvrđenih u GDPR-u, posebno u pogledu obrade osobnih podataka preminulih osoba. , primjenjiva razdoblja čuvanja podataka i privolu maloljetnika za obradu podataka. Konkretno, i bez prejudiciranja načela ograničenja svrhe GDPR-a, Zakon br. 58/2019 dopušta voditeljima obrade podataka ili izvršiteljima obrade da zadrže osobne podatke do isteka bilo kojeg zakonskog roka zastare tijekom kojeg će možda morati koristiti podatke za pokazati usklađenost sa zakonskim ili ugovornim obvezama.1
Strane fintech platforme na portugalskom tržištu
Radimo za međunarodna mala i srednja poduzeća, start-upove i telekomunikacijske tvrtke
Sudjelovanje kao odvjetnik u investicijskim venture fondovima, provođenje M&A venture poslova u području IT-a, podrška za iGaming i poslovnu imovinu
Sveobuhvatne pravne usluge za tvrtke u vezi s korporativnim, poreznim pravom, zakonodavstvom o kriptovalutama, investicijskim aktivnostima
