다른 관할 구역의 규칙 및 규정을 볼 수 있습니다.
핀테크 회사는 엄청난 양의 개인 데이터(KYC 데이터 포함)를 수집, 통제 및 처리하므로 기존 핀테크 회사에만 적용되지 않는 일반 데이터 보호 규정(GDPR)에 따른 데이터 프라이버시 규칙의 적용을 받습니다. EU에 고객이 있고 데이터에서 지불이 필요한지 여부에 관계없이 이러한 데이터 주체에게 서비스를 제공하는 맥락에서 고객의 개인 데이터 처리가 수행되는 경우 EU 외부에 설립된 회사에도 적용됩니다. 주제. EDPB(European Data Protection Board)는 2018년 11월 16일 채택된 GDPR의 지역적 범위에 대한 지침 3/2018에서 EU 내 고객을 대상으로 하려는 의도가 EU 영토 외부에 설립된 법인이 대상인지 여부를 평가하는 데 핵심이라고 밝혔습니다. GDPR에.1
경우에 따라 개인 데이터 처리에 고객의 동의가 필요할 수 있습니다. 사전 표시된 동의 또는 옵트아웃 필드는 더 이상 허용되지 않습니다. 동의는 진술 또는 명확한 긍정 조치의 형식이어야 하기 때문입니다. GDPR은 규정 준수의 증거와 관련하여 데이터 관리자에게 부담스러운 책임 의무를 부여하며, 이는 데이터 보호 체제의 주요 패러다임 변화를 나타냅니다. 여기에는 고위험 처리 작업(예: 금융 사기를 저지르는 데 사용될 수 있는 개인 데이터 처리와 관련된 작업)에 대한 데이터 보호 영향 평가 수행과 설계 및 기본적으로 데이터 보호 구현이 포함됩니다.1
이러한 일반적인 데이터 보호 규칙은 핀테크 회사가 고객에게 서비스를 제공할 때 준수해야 하는 은행 비밀 및 AML 규칙으로 보완됩니다.1
은행 비밀 규정에 따르면 은행 비밀로 보호되는 고객의 개인 데이터 공개(국경 간 전송 포함)는 고객의 사전 허가가 있거나 다음 조치 중 하나를 달성하기 위해 공개가 필요한 경우에만 허용됩니다.1
과거에 포르투갈 데이터 보호 당국(CNPD)은 특정 사례에서 은행에서 처리하는 모든 개인 데이터가 은행 비밀의 대상이 된다고 판결했습니다.1
AML 보고를 위한 고객 데이터 처리와 관련하여 특정 관련 개인 데이터의 공개는 법적 의무 이행을 기반으로 하므로 데이터 주체의 동의를 얻을 필요가 없습니다. PSEMLF 하의 "고객 허가" 개념과 금융 기관의 법적 프레임워크가 GDPR 하의 "동의" 개념과 다르기 때문에 많은 은행 및 기타 금융 기관은 클라이언트의 일반 이용 약관의 컨텍스트.1
핀테크 비즈니스 맥락에서 데이터 처리의 또 다른 중요한 측면은 고객 프로파일링 및 비즈니스 세분화와 프로파일링을 기반으로 한 자동화된 의사 결정입니다. 데이터 주체에 관한 특정 개인적 측면을 평가하도록 설계된 자동화된 데이터 처리에만 기반하여 데이터 주체에 영향을 미치거나 중대한 영향을 미치는 자동화된 결정은 허용되지 않습니다.1
GDPR은 프로파일링 및 자동화된 의사 결정과 관련된 위험을 해결하기 위해 새로운 조항을 도입했습니다. 기본적으로 GDPR에 따르면 이러한 유형의 의사 결정은 계약의 체결 또는 이행에 필요하거나 컨트롤러에 적용되는 EU 또는 회원국 법률에 의해 승인되거나 최종적으로 명시적인 동의하는 얼굴. 이러한 근거 중 하나가 적용되는 경우 논리, 의미 및 의도된 결과와 관련하여 영향을 받는 데이터 주체에 자동화된 개별 의사 결정에 대한 특정 정보를 공개할 뿐만 아니라 추가 보안 조치를 취해야 합니다. 2020년 1월 MEP Sophie in 't Veld가 GDPR이 불공정한 자동화된 의사 결정으로부터 데이터 주체를 보호하기에 충분한지 여부에 관한 불공정한 알고리즘에 대한 서한에 대해 EDPB는 "컨트롤러는 모든 잠재적인 가능성을 고려해야 할 의무가 있습니다. 특정 알고리즘의 사용 또는 생성으로 인해 잠재적으로 개인의 권리와 자유를 위해 발생할 수 있는 위험을 방지하고 필요한 경우 이러한 위험을 제거하기 위한 조치를 취하십시오.”1
또한 개인 데이터 처리를 위한 특정 범주의 데이터(예: 건강 데이터 또는 생체 데이터) 사용에 대한 추가 제한이 있으며, 이는 핀테크 회사가 규제 기술 PSD II 표준에 따라 강력한 고객 인증 메커니즘을 구현하는 방법에 궁극적으로 영향을 미칠 수 있습니다. , 규제 기술 표준은 이러한 맥락에서 지불 서비스 사용자의 생체 인식 데이터 사용을 요구하기 때문입니다. CNPD는 금융 데이터가 개인의 사생활을 드러내는 민감한 데이터이므로 포르투갈 헌법에 의해 보호되어야 한다고 일관되게 판결했습니다. 금융 데이터도 EDPB에서 매우 개인적인 데이터로 취급되기 때문에 이는 궁극적으로 데이터 통제자와 처리자가 데이터를 보호하기 위해 취하는 기술적 및 조직적 조치의 엄격함과 데이터 검증을 받아야 할 필요성에 영향을 미칠 수 있습니다. 데이터 처리 전 보호 영향 평가(DPIA). 따라서 재무 데이터 처리는 필수 DPIA에 해당하는 처리 활동을 나열하는 CNPD 규정 1/2018에 따라 DPIA가 필요할 수 있습니다. 개인적인 성격. 9개 중 4개에서.1
전술한 내용을 침해하지 않고 GDPR을 구현하는 포르투갈 법률은 2019년 8월 8일에 발효되었습니다. 2019년 58호 법률은 특히 사망한 사람의 개인 데이터 처리와 관련하여 GDPR에 명시된 규칙에 대한 몇 가지 추가 조정 및 제한 사항을 도입합니다. , 해당 데이터 보유 기간 및 데이터 처리에 대한 미성년자의 동의. 특히, GDPR의 목적 제한 원칙을 침해하지 않고, 법률 58/2019는 데이터 관리자 또는 프로세서가 다음을 위해 데이터를 사용해야 할 수 있는 법적 제한 기간이 만료될 때까지 개인 데이터를 보유할 수 있도록 허용합니다. 법적 또는 계약상의 의무를 준수함을 입증합니다.1
핀테크 및 블록체인 프로젝트에 대한 법률 지원
투자 벤처 펀드에 변호사로 참여, IT 분야의 M&A 벤처 거래 수행, iGaming 및 비즈니스 자산 지원
우리는 국제 중소기업, 스타트업 및 통신 회사에서 일합니다.