Galite peržiūrėti kitų jurisdikcijų taisykles ir nuostatas.
Fintech įmonės renka, kontroliuoja ir apdoroja didžiulius asmens duomenų kiekius (įskaitant KYC duomenis) ir dėl to joms taikomos duomenų privatumo taisyklės pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), kuris netaikomas tik įsitvirtinusioms fintech įmonėms. ES, bet ir už ES ribų įsteigtoms įmonėms, jei jos turi klientų ES ir klientų asmens duomenų tvarkymas atliekamas teikiant paslaugas šiems duomenų subjektams, neatsižvelgiant į tai, ar už duomenis reikia mokėti. tema. Europos duomenų apsaugos valdyba (EDAP) 2018 m. lapkričio 16 d. priimtose Rekomendacijose Nr. 3/2018 dėl BDAR teritorinės taikymo srities išaiškino, kad ketinimas orientuotis į klientus ES yra labai svarbus vertinant, ar ne ES teritorijoje įsteigtiems subjektams taikoma prie GDPR.1
Kai kuriais atvejais asmens duomenims tvarkyti gali prireikti kliento sutikimo. Iš anksto pažymėti sutikimo arba atsisakymo laukai nebebus leidžiami, nes sutikimas turi būti pareiškimo arba aiškaus teigiamo veiksmo forma. Pagal BDAR duomenų valdytojams nustatomi sunkūs atskaitomybės įsipareigojimai, susiję su atitikties įrodymais, o tai reiškia didelį duomenų apsaugos režimo paradigmos pokytį. Tai apima didesnės rizikos tvarkymo operacijų (pavyzdžiui, kai tvarkomi asmens duomenys, kurie gali būti naudojami finansiniam sukčiavimui) poveikio duomenų apsaugai vertinimą ir numatytosios ir numatytosios duomenų apsaugos įgyvendinimą.1
Šias bendrąsias duomenų apsaugos taisykles papildo banko paslapties ir AML taisyklės, kurių fintech įmonės turės laikytis teikdamos paslaugas savo klientams.1
Banko paslapties taisyklėse nurodyta, kad banko paslapties saugomų klientų asmens duomenų atskleidimas (įskaitant tarptautinius pervedimus) leidžiamas tik gavus išankstinį kliento leidimą arba jei atskleidimas būtinas norint atlikti vieną iš šių veiksmų:
Anksčiau Portugalijos duomenų apsaugos institucija (CNPD) konkrečiu atveju nusprendė, kad visiems banko tvarkomiems asmens duomenims taikoma banko paslaptis.1
Kalbant apie klientų duomenų tvarkymą AML ataskaitų teikimo tikslais, konkrečių svarbių asmens duomenų atskleidimas yra pagrįstas teisinės pareigos įvykdymu, todėl nereikia gauti duomenų subjekto sutikimo. Kadangi „kliento leidimo“ sąvoka pagal PSEMLF ir finansų įstaigų teisinę bazę skiriasi nuo „sutikimo“ sąvokos pagal BDAR, daugelis bankų ir kitų finansų įstaigų pasirenka rinkti klientų leidimus atskleisti banko paslapties informaciją. savo bendrųjų kliento sąlygų kontekste.1
Kitas svarbus duomenų apdorojimo aspektas fintech verslo kontekste yra klientų profiliavimas ir verslo segmentavimas bei automatizuotas sprendimų priėmimas remiantis profiliavimu. Draudžiama priimti automatizuotus sprendimus, turinčius įtakos ar reikšmingai paveikti duomenų subjektą, pagrįstų tik automatizuotu duomenų tvarkymu, skirtu tam tikriems su juo susijusiems asmeniniams aspektams įvertinti.1
BDAR įtrauktos naujos nuostatos, skirtos spręsti su profiliavimu ir automatizuotu sprendimų priėmimu susijusią riziką. Iš esmės, remiantis BDAR, tokio tipo sprendimai gali būti priimami tik tuo atveju, jei sprendimas yra būtinas sutarčiai sudaryti ar vykdyti, arba yra leidžiamas pagal ES ar valstybės narės teisę, taikomą duomenų valdytojui, arba galiausiai pagrįstas aiškiais sutikimo veidai. Jei yra vienas iš šių pagrindų, turi būti įdiegtos papildomos saugumo priemonės, taip pat turi būti atskleista konkreti informacija apie automatizuotą individualių sprendimų priėmimą paveiktiems duomenų subjektams dėl logikos, reikšmės ir numatomų pasekmių. 2020 m. sausio mėn., atsakydama į europarlamentarės Sophie in 't Veld laišką dėl nesąžiningų algoritmų, ar BDAR pakanka apsaugoti duomenų subjektus nuo nesąžiningo automatizuoto sprendimų priėmimo, EDAV pabrėžė, kad „duomenų valdytojai privalo atsižvelgti į visas galimas galimybes. riziką, kurią konkretaus algoritmo naudojimas ar sukūrimas gali sukelti asmenų teisėms ir laisvėms, ir prireikus imtis priemonių šiai rizikai pašalinti.1
Taip pat taikomi papildomi specialių kategorijų duomenų (pvz., sveikatos duomenų ar biometrinių duomenų) naudojimo bet kokiam asmens duomenų tvarkymui apribojimai, kurie galiausiai gali turėti įtakos tam, kaip fintech įmonės įgyvendins tvirtus klientų autentifikavimo mechanizmus pagal reguliavimo techninius PSD II standartus. , nes pagal techninius reguliavimo standartus šiame kontekste reikalaujama naudoti mokėjimo paslaugų vartotojų biometrinius duomenis. CNPD nuosekliai tvirtina, kad finansiniai duomenys yra neskelbtini duomenys ta prasme, kad jie atskleidžia asmens privataus gyvenimo aspektus, todėl turi būti saugomi pagal Portugalijos Konstituciją. Kadangi EDAV finansinius duomenis taip pat laiko labai asmeniniais duomenimis, tai galiausiai gali turėti įtakos techninių ir organizacinių priemonių, kurių duomenų valdytojai ir tvarkytojai imasi duomenims apsaugoti, griežtumui, taip pat būtinybei atlikti duomenų patikrinimą. poveikio apsaugai vertinimą (DPAV) prieš tvarkydami duomenis. Taigi tvarkant finansinius duomenis gali prireikti DPAV pagal CNPD reglamentą 1/2018, kuriame išvardytos tvarkymo veiklos, kurioms taikomas privalomas DPAV, nes reglamente kalbama apie duomenų tvarkymą tik asmeninė prigimtis. keturiais iš devynių atvejų.1
Nepažeidžiant to, kas išdėstyta pirmiau, Portugalijos teisės aktai, įgyvendinantys BDAR, įsigaliojo 2019 m. rugpjūčio 8 d. Įstatymas Nr.58/2019 įveda kai kuriuos papildomus BDAR nustatytų taisyklių patikslinimus ir apribojimus, ypač susijusius su mirusių asmenų asmens duomenų tvarkymu. , taikomus duomenų saugojimo terminus ir nepilnamečių sutikimą tvarkyti duomenis. Visų pirma, nepažeidžiant BDAR tikslo ribojimo principo, Įstatymas Nr. 58/2019 leidžia duomenų valdytojams arba tvarkytojams saugoti asmens duomenis, kol pasibaigs bet kokie įstatymų numatyti senaties terminai, per kuriuos jiems gali tekti naudoti duomenis įrodyti, kad laikomasi teisinių ar sutartinių įsipareigojimų.1
Užsienio fintech platformos Portugalijos rinkoje
Visapusiškos teisinės paslaugos verslui įmonių, mokesčių teisės, kriptovaliutų teisės aktų, investicinės veiklos klausimais
Dalyvavimas kaip teisininkas investicinių rizikos fondų veikloje, susijungimų ir įsigijimų sandorių sudarymas IT srityje, iGaming ir verslo turto palaikymas
Teisinė pagalba FinTech ir Blockchain projektams
