他の法域の規則や規制を見ることができます。
フィンテック企業は膨大な量の個人データ (KYC データを含む) を収集、管理、処理するため、一般データ保護規則 (GDPR) に基づくデータ プライバシー規則の対象となります。ただし、EU 内に顧客があり、データからの支払いが必要かどうかに関係なく、これらのデータ主体にサービスを提供するという文脈で顧客の個人データの処理が行われる場合、EU 外に設立された企業にも適用されます。主題。欧州データ保護委員会 (EDPB) は、2018 年 11 月 16 日に採択された GDPR の地域的範囲に関するガイダンス 3/2018 で、EU 内の顧客を対象とする意図が、EU 地域外に設立された事業体が対象であるかどうかを評価するための鍵であることを明確にしましたGDPRに。1
場合によっては、個人データの処理にはクライアントの同意が必要になる場合があります。同意は声明または明確な肯定的な行動の形式でなければならないため、事前にマークされた同意またはオプトアウト フィールドは許可されなくなります。 GDPR は、コンプライアンスの証拠に関連して、データ管理者に負担のかかる説明責任を課しています。これは、データ保護体制における大きなパラダイム シフトを表しています。これには、リスクの高い処理操作 (金融詐欺の実行に使用される可能性のある個人データの処理を伴う操作など) に対するデータ保護影響評価の実施、および設計によるデータ保護のデフォルトの実装が含まれます。1
これらの一般的なデータ保護規則は、フィンテック企業が顧客にサービスを提供する際に遵守しなければならない銀行秘密および AML 規則によって補完されます。1
銀行の秘密保持規則では、銀行の秘密保持 (国境を越えた送金を含む) によって保護されている顧客の個人データの開示は、顧客の事前の許可がある場合、または次のいずれかのアクションを達成するために開示が必要な場合にのみ許可されると規定されています。1
過去に、ポルトガルのデータ保護機関 (CNPD) は、銀行によって処理されるすべての個人データが銀行秘密の対象であるという特定のケースで裁定を下しました。1
AML 報告目的での顧客データの処理に関して、特定の関連する個人データの開示は法的義務の履行に基づいているため、データ主体の同意を得る必要はありません。 PSEMLF および金融機関の法的枠組みにおける「顧客の許可」の概念は、GDPR における「同意」の概念とは異なるため、多くの銀行およびその他の金融機関は、GDPR での銀行秘密情報の開示について顧客の許可を収集することを選択します。クライアントの一般条件のコンテキスト。1
フィンテック ビジネスのコンテキストにおけるデータ処理のもう 1 つの重要な側面は、顧客プロファイリングとビジネス セグメンテーション、およびプロファイリングに基づく自動意思決定です。データ主体に関する特定の個人的側面を評価するように設計された自動データ処理のみに基づいて、データ主体に影響を与える、または著しく影響を与える自動決定は許可されません。1
GDPR では、プロファイリングと自動化された意思決定に関連するリスクに対処するための新しい規定が導入されました。基本的に、GDPR によると、この種の意思決定は、決定が契約の締結または履行に必要な場合、または管理者に適用される EU または加盟国の法律によって承認されている場合、または最終的に明示的な根拠に基づいている場合にのみ行うことができます。同意の顔。これらの理由のいずれかが当てはまる場合は、追加のセキュリティ対策を講じる必要があります。また、論理、意味、および意図された結果に関して、影響を受けるデータ主体に対する自動化された個人の意思決定に関する特定の情報を開示する必要があります。 2020 年 1 月、GDPR がデータ主体を不当に自動化された意思決定から保護するのに十分であるかどうかに関する不公平なアルゴリズムに関する MEP Sophie からの書簡に応えて、EDPB は「管理者はすべての可能性を考慮する義務がある」と強調しました。特定のアルゴリズムの使用または作成が個人の権利と自由のために潜在的に作成する可能性のあるリスクを特定し、必要に応じて、これらのリスクを排除するための措置を講じます。」1
また、個人データを処理するための特別なカテゴリのデータ (健康データや生体認証データなど) の使用に対する追加の制限もあり、最終的にはフィンテック企業が規制技術 PSD II 基準に従って強力な顧客認証メカニズムを実装する方法に影響を与える可能性があります。規制技術基準では、このコンテキストで決済サービス ユーザーの生体認証データを使用する必要があるためです。 CNPD は、個人の私生活の側面を明らかにするという意味で、金融データは機密データであり、したがってポルトガル憲法によって保護されなければならないと一貫して裁定してきました。財務データも EDPB によって非常に個人的なデータとして扱われるため、これは最終的に、データの管理者と処理者がデータを保護するために講じる技術的および組織的な対策の厳格さ、およびデータ検証を受ける必要性に影響を与える可能性があります。データ処理前の保護影響評価 (DPIA)。したがって、財務データの処理は、CNPD 規則 1/2018 に従って DPIA の必要性を引き起こす可能性があります。この規則は、必須の DPIA に該当する処理活動をリストしています。個人的な性質。 9つのケースのうち4つ。1
上記を損なうことなく、GDPR を実施するポルトガルの法律が 2019 年 8 月 8 日に施行されました。法律第 58/2019 号は、特に故人の個人データの処理に関して、GDPR で定められた規則にいくつかの追加の調整と制限を導入しています。 、適用されるデータ保持期間、およびデータ処理に対する未成年者の同意。特に、GDPR の目的の制限の原則を損なうことなく、法律第 58/2019 号は、データの管理者または処理者が、データを使用する必要がある法定制限期間が満了するまで、個人データを保持することを許可しています。法的または契約上の義務の遵守を示す。1
フィンテックおよびブロックチェーン プロジェクトの法的サポート
企業法務、税法、仮想通貨立法、投資活動に関する企業向け総合リーガルサービス
投資ベンチャーファンドへの弁護士としての参加、IT分野のM&Aベンチャーディール、iGamingや事業資産のサポート