Megtekintheti más joghatóságok szabályait és előírásait.
Fintech cégek hatalmas mennyiségű személyes adatot (beleértve a KYC-adatokat is) gyűjtenek, kezelnek és dolgoznak fel, és ennek eredményeként rájuk vonatkoznak az Általános Adatvédelmi Rendelet (GDPR) szerinti adatvédelmi szabályok, amelyek nem csak a bejegyzett fintech cégekre vonatkoznak. az EU-ban, de az EU-n kívül letelepedett vállalkozásoknak is, ha EU-ban vannak ügyfeleik, és az ügyfelek személyes adatainak feldolgozása ezen érintettek részére történő szolgáltatásnyújtás keretében történik, függetlenül attól, hogy az adatokért fizetést kell-e fizetni. tantárgy. Az Európai Adatvédelmi Testület (EDPB) a GDPR területi hatályáról szóló, 2018. november 16-án elfogadott 3/2018-as útmutatójában egyértelművé tette, hogy az EU-beli ügyfelek megcélzásának szándéka kulcsfontosságú annak értékeléséhez, hogy az EU területén kívül letelepedett jogalanyok hatálya alá tartoznak-e. a GDPR-hez.1
Egyes esetekben a személyes adatok feldolgozásához szükség lehet az ügyfél hozzájárulására. Az előre megjelölt hozzájárulási vagy leiratkozási mezők a továbbiakban nem használhatók, mivel a hozzájárulásnak nyilatkozat vagy egyértelműen megerősítő cselekvés formájában kell történnie. A GDPR megterhelő elszámoltathatósági kötelezettségeket ró az adatkezelőkre a megfelelőség bizonyításával kapcsolatban, ami jelentős paradigmaváltást jelent az adatvédelmi rendszerben. Ez magában foglalja a nagyobb kockázatú adatfeldolgozási műveletek adatvédelmi hatásvizsgálatának elvégzését (például olyan személyes adatok feldolgozását, amelyek pénzügyi csalás elkövetésére használhatók fel), valamint a beépített és alapértelmezett adatvédelem megvalósítását.1
Ezeket az általános adatvédelmi szabályokat kiegészítik a banktitokra és az AML-re vonatkozó szabályok, amelyeket a fintech cégeknek be kell tartaniuk, amikor szolgáltatásokat nyújtanak ügyfeleiknek.1
A banktitokra vonatkozó szabályok kimondják, hogy a banktitok által védett ügyfelek személyes adatainak nyilvánosságra hozatala (ideértve a határon átnyúló átutalásokat is) csak az ügyfél előzetes engedélyével, vagy az alábbi intézkedések valamelyikének eléréséhez szükséges:
Korábban a Portugál Adatvédelmi Hatóság (CNPD) egy konkrét ügyben úgy döntött, hogy a bank által feldolgozott összes személyes adat banktitok hatálya alá tartozik.1
Az ügyféladatok AML bejelentési célú kezelése tekintetében a konkrét releváns személyes adatok nyilvánosságra hozatala jogszabályi kötelezettség teljesítése alapján történik, ezért nincs szükség az érintett hozzájárulásának beszerzésére. Mivel a PSEMLF szerinti „ügyfélengedély” fogalma és a pénzügyi intézmények jogi kerete eltér a GDPR szerinti „beleegyezés” fogalmától, sok bank és más pénzügyi intézmény úgy dönt, hogy begyűjti az ügyfelek engedélyeit a banktitokkal kapcsolatos információk közzétételéhez. az ügyfélre vonatkozó általános szerződési feltételeik összefüggésében.1
Az adatfeldolgozás másik fontos szempontja a fintech üzletággal összefüggésben az ügyfélprofilalkotás és az üzleti szegmentálás, valamint a profilalkotáson alapuló automatizált döntéshozatal. Nem megengedettek olyan automatizált döntések, amelyek az érintettet érintik vagy jelentősen érintik, kizárólag olyan automatizált adatkezelésen alapulnak, amely az őt érintő bizonyos személyes szempontok értékelését szolgálja.1
GDPR új rendelkezéseket vezetett be a profilalkotással és az automatizált döntéshozatallal kapcsolatos kockázatok kezelésére. Alapvetően a GDPR szerint ilyen típusú döntéshozatalra csak akkor kerülhet sor, ha a döntés vagy a szerződés megkötéséhez vagy teljesítéséhez szükséges, vagy az adatkezelőre vonatkozó uniós vagy tagállami jog által feljogosított, vagy végül kifejezett beleegyező arcok. Ha ezen indokok valamelyike fennáll, további biztonsági intézkedéseket kell bevezetni, valamint az automatizált egyéni döntéshozatalra vonatkozó konkrét információkat az érintett érintettek számára a logikára, jelentésre és tervezett következményekre vonatkozóan. 2020 januárjában, Sophie in 't Veld európai parlamenti képviselő levelére válaszul a tisztességtelen algoritmusokról, amelyek arra vonatkoznak, hogy a GDPR elegendő-e az érintettek védelmére a tisztességtelen automatizált döntéshozataltól, az EDPB hangsúlyozta, hogy "az adatkezelők kötelesek figyelembe venni minden lehetséges lehetőséget. kockázatokat, amelyeket egy adott algoritmus használata vagy létrehozása potenciálisan az egyének jogaira és szabadságaira nézve jelenthet, és ha szükséges, tegyen intézkedéseket e kockázatok kiküszöbölésére.”1
További korlátozások vonatkoznak a különleges adatkategóriák (például egészségügyi adatok vagy biometrikus adatok) személyes adatok feldolgozására történő felhasználására is, amelyek végső soron hatással lehetnek arra, hogy a fintech cégek hogyan valósítják meg az erős ügyfél-hitelesítési mechanizmusokat a szabályozástechnikai PSD II szabványoknak megfelelően. , mivel a szabályozástechnikai szabványok ebben az összefüggésben megkövetelik a fizetési szolgáltatások felhasználói biometrikus adatainak használatát. A CNPD következetesen kimondta, hogy a pénzügyi adatok érzékeny adatok abban az értelemben, hogy egy személy magánéletének aspektusait fedik fel, ezért azokat a portugál alkotmánynak kell védenie. Mivel az európai adatvédelmi hatóság a pénzügyi adatokat is erősen személyes adatként kezeli, ez végső soron befolyásolhatja az adatkezelők és -feldolgozók által az adatok védelme érdekében hozott technikai és szervezési intézkedések szigorát, valamint az adatellenőrzés szükségességét. védelmi hatásvizsgálat (DPIA) az adatkezelést megelőzően. Így a pénzügyi adatok feldolgozása indokolttá teheti az 1/2018-as CNPD rendelet szerinti adatvédelmi vizsgálatot, amely felsorolja azokat a feldolgozási tevékenységeket, amelyek a kötelező adatvédelmi ellenőrzés hatálya alá esnek, mivel a rendelet tisztán egy személy adatainak feldolgozására vonatkozik. személyes természet. kilenc esetből négyben.1
Fentiek sérelme nélkül a GDPR-t végrehajtó portugál jogszabályok 2019. augusztus 8-án léptek hatályba. Az 58/2019. számú törvény további kiigazításokat és korlátozásokat vezet be a GDPR-ban meghatározott szabályokhoz, különös tekintettel az elhunyt személyek személyes adatainak kezelésére. , az alkalmazandó adatmegőrzési időszakok és a kiskorúak hozzájárulása az adatkezeléshez. Az 58/2019. sz. törvény lehetővé teszi az adatkezelők vagy -feldolgozók számára, hogy a személyes adatokat minden olyan törvényes elévülési időszak lejártáig megőrizzék, amely során szükség lehet arra, hogy a GDPR céljainak korlátozására vonatkozó elv sérelme nélkül. bizonyítja a jogi vagy szerződéses kötelezettségek betartását.1
Külföldi fintech platformok a portugál piacon
Nemzetközi kis- és középvállalkozásoknak, induló vállalkozásoknak és távközlési cégeknek dolgozunk
Ügyvédi részvétel befektetési kockázati alapokban, M&A kockázati ügyletek lebonyolítása IT területen, iGaming és üzleti eszközök támogatása
Átfogó jogi szolgáltatások vállalkozások számára társasági, adójog, kriptovaluta törvényhozás, befektetési tevékenység terén