Anda dapat melihat aturan dan peraturan di yurisdiksi lain.
Perusahaan fintech mengumpulkan, mengontrol, dan memproses data pribadi dalam jumlah besar (termasuk data KYC) dan akibatnya tunduk pada aturan privasi data di bawah Peraturan Perlindungan Data Umum (GDPR), yang tidak hanya berlaku untuk perusahaan fintech yang sudah mapan. di UE, tetapi juga untuk perusahaan yang didirikan di luar UE jika mereka memiliki pelanggan di UE dan pemrosesan data pribadi pelanggan dilakukan dalam konteks menawarkan layanan kepada subjek data ini, terlepas dari apakah pembayaran diperlukan dari data tersebut subjek. Dewan Perlindungan Data Eropa (EDPB) mengklarifikasi dalam Pedoman 3/2018 tentang cakupan teritorial GDPR, yang diadopsi pada 16 November 2018, bahwa niat untuk menargetkan pelanggan di UE adalah kunci untuk menilai apakah entitas yang didirikan di luar wilayah UE tunduk pada ke GDPR.1
Dalam beberapa kasus, pemrosesan data pribadi mungkin memerlukan persetujuan klien. Bidang persetujuan atau penyisihan yang telah ditandai sebelumnya tidak akan diizinkan lagi, karena persetujuan harus dalam bentuk pernyataan atau tindakan afirmatif yang jelas. GDPR membebankan kewajiban akuntabilitas pada pengontrol data sehubungan dengan bukti kepatuhan, yang merupakan perubahan paradigma besar dalam rezim perlindungan data. Ini termasuk melakukan penilaian dampak perlindungan data untuk operasi pemrosesan berisiko tinggi (seperti yang melibatkan pemrosesan data pribadi yang dapat digunakan untuk melakukan penipuan keuangan) dan menerapkan perlindungan data sesuai rancangan dan secara default.1
Aturan perlindungan data umum ini dilengkapi dengan kerahasiaan bank dan aturan AML yang harus dipatuhi oleh perusahaan tekfin saat memberikan layanan kepada pelanggan mereka.1
Aturan kerahasiaan bank menyatakan bahwa pengungkapan data pribadi pelanggan yang dilindungi oleh kerahasiaan bank (termasuk transfer lintas batas) hanya diperbolehkan dengan izin sebelumnya dari pelanggan atau jika pengungkapan diperlukan untuk mencapai salah satu tindakan berikut:
Di masa lalu, Otoritas Perlindungan Data Portugis (CNPD) memutuskan dalam kasus khusus bahwa semua data pribadi yang diproses oleh bank tunduk pada kerahasiaan bank.1
Sehubungan dengan pemrosesan data pelanggan untuk tujuan pelaporan AML, pengungkapan data pribadi relevan yang spesifik didasarkan pada pemenuhan kewajiban hukum dan karenanya tidak perlu mendapatkan persetujuan dari subjek data. Karena konsep "izin pelanggan" di bawah PSEMLF dan kerangka hukum lembaga keuangan berbeda dari konsep "persetujuan" di bawah GDPR, banyak bank dan lembaga keuangan lainnya memilih untuk mengumpulkan izin pelanggan untuk pengungkapan informasi rahasia bank di konteks syarat dan ketentuan umum klien mereka.1
Aspek penting lain dari pemrosesan data dalam konteks bisnis tekfin adalah profil pelanggan dan segmentasi bisnis, serta pengambilan keputusan otomatis berdasarkan profil. Tidak ada keputusan otomatis yang memengaruhi atau memengaruhi subjek data secara signifikan, hanya berdasarkan pemrosesan data otomatis yang dirancang untuk mengevaluasi aspek pribadi tertentu tentang dirinya.1
GDPR memperkenalkan ketentuan baru untuk mengatasi risiko yang terkait dengan pembuatan profil dan pengambilan keputusan otomatis. Pada dasarnya, menurut GDPR, jenis pengambilan keputusan ini hanya dapat dilakukan jika keputusan tersebut diperlukan untuk penyelesaian atau pelaksanaan kontrak, atau disahkan oleh undang-undang UE atau Negara Anggota yang berlaku untuk pengontrol, atau akhirnya berdasarkan pada persetujuan wajah. Jika salah satu dari alasan ini berlaku, tindakan keamanan tambahan harus dilakukan, serta pengungkapan informasi spesifik tentang pengambilan keputusan individual otomatis kepada subjek data yang terpengaruh terkait logika, makna, dan konsekuensi yang dimaksudkan. Pada Januari 2020, sebagai tanggapan atas surat dari MEP Sophie di Veld tentang algoritme yang tidak adil mengenai apakah GDPR cukup untuk melindungi subjek data dari pengambilan keputusan otomatis yang tidak adil, EDPB menekankan bahwa "pengontrol berkewajiban untuk mempertimbangkan semua potensi risiko yang berpotensi diciptakan oleh penggunaan atau pembuatan algoritme tertentu untuk hak dan kebebasan individu, dan, jika perlu, mengambil tindakan untuk menghilangkan risiko ini.”1
Ada juga pembatasan tambahan pada penggunaan kategori data khusus (seperti data kesehatan atau data biometrik) untuk pemrosesan data pribadi apa pun, yang pada akhirnya dapat memengaruhi cara perusahaan tekfin menerapkan mekanisme autentikasi pelanggan yang kuat sesuai dengan standar teknis peraturan PSD II. , karena standar teknis regulasi mensyaratkan penggunaan data biometrik pengguna layanan pembayaran dalam konteks ini. CNPD secara konsisten memutuskan bahwa data keuangan adalah data yang sensitif dalam arti mengungkapkan aspek kehidupan pribadi seseorang dan karenanya harus dilindungi oleh Konstitusi Portugal. Karena data keuangan juga diperlakukan sebagai data yang sangat pribadi oleh EDPB, hal ini pada akhirnya dapat memengaruhi ketelitian tindakan teknis dan organisasi yang diambil oleh pengontrol dan pemroses data untuk melindungi data, serta kebutuhan untuk menjalani verifikasi data. penilaian dampak perlindungan (DPIA) sebelum pemrosesan data. Dengan demikian, pemrosesan data keuangan dapat menimbulkan kebutuhan akan DPIA sesuai dengan Peraturan CNPD 1/2018, yang mencantumkan kegiatan pemrosesan yang termasuk dalam DPIA wajib, karena Peraturan tersebut merujuk pada pemrosesan data murni sifat pribadi. dalam empat dari sembilan kasus.1
Tanpa mengurangi hal tersebut di atas, undang-undang Portugis yang menerapkan GDPR mulai berlaku pada 8 Agustus 2019. UU No.58/2019 memperkenalkan beberapa penyesuaian tambahan dan pembatasan aturan yang ditetapkan dalam GDPR, khususnya terkait pemrosesan data pribadi orang yang meninggal. , periode penyimpanan data yang berlaku, dan persetujuan anak di bawah umur untuk pemrosesan data. Secara khusus, dan tanpa mengurangi prinsip pembatasan tujuan GDPR, UU No.58/2019 mengizinkan pengontrol atau pemroses data untuk menyimpan data pribadi hingga berakhirnya periode pembatasan menurut undang-undang selama mereka mungkin perlu menggunakan data tersebut untuk menunjukkan kepatuhan dengan kewajiban hukum atau kontrak.1
Platform fintech asing di pasar Portugis
Dukungan hukum untuk proyek FinTech dan Blockchain
Kami bekerja untuk perusahaan kecil dan menengah internasional, perusahaan baru dan perusahaan telekomunikasi
Layanan hukum yang komprehensif untuk bisnis di perusahaan, hukum pajak, undang-undang cryptocurrency, kegiatan investasi
