lv

Tirgus apskats

Šis raksts nav juridisks padoms.

Personas datu aizsardzība Portugālē

Galvenā lapa

Fintech uzņēmumi vāc, kontrolē un apstrādā milzīgus personas datu apjomus (tostarp KYC datus), un rezultātā uz tiem attiecas Vispārīgās datu aizsardzības regulas (GDPR) datu konfidencialitātes noteikumi, kas neattiecas tikai uz reģistrētiem fintech uzņēmumiem. ES, bet arī ārpus ES reģistrētiem uzņēmumiem, ja tiem ir klienti ES un klientu personas datu apstrāde tiek veikta saistībā ar pakalpojumu piedāvāšanu šiem datu subjektiem neatkarīgi no tā, vai par datiem ir jāmaksā priekšmets. Eiropas Datu aizsardzības kolēģija (EDPB) savās Vadlīnijās 3/2018 par GDPR teritoriālo darbības jomu, kas pieņemta 2018. gada 16. novembrī, precizēja, ka nodoms mērķēt uz klientiem ES ir būtisks, lai novērtētu, vai subjekti, kas reģistrēti ārpus ES teritorijas, ir pakļauti. uz GDPR.1

Dažos gadījumos personas datu apstrādei var būt nepieciešama klienta piekrišana. Iepriekš atzīmētie piekrišanas vai atteikšanās lauki vairs nebūs atļauti, jo piekrišanai ir jābūt paziņojuma vai skaidras apstiprinošas darbības veidā. GDPR uzliek apgrūtinošus pārskatatbildības pienākumus datu pārziņiem saistībā ar atbilstības pierādījumiem, kas ir būtiska paradigmas maiņa datu aizsardzības režīmā. Tas ietver datu aizsardzības ietekmes novērtējumu veikšanu augstāka riska apstrādes darbībām (piemēram, tādām, kas saistītas ar personas datu apstrādi, ko varētu izmantot finanšu krāpšanai) un datu aizsardzības ieviešanu pēc ieplānotas un pēc noklusējuma.1

Šos vispārīgos datu aizsardzības noteikumus papildina banku noslēpuma un AML noteikumi, kas fintech uzņēmumiem būs jāievēro, sniedzot pakalpojumus saviem klientiem.1

Bankas noslēpuma noteikumi nosaka, ka ar bankas noslēpumu aizsargātu klientu personas datu izpaušana (tostarp pārrobežu pārskaitījumi) ir atļauta tikai ar klienta iepriekšēju atļauju vai ja izpaušana nepieciešama, lai veiktu kādu no šādām darbībām:

  • juridiska pienākuma ievērošana, kas skaidri ierobežo šos noslēpuma pienākumus
  • tiesu varas prasību ievērošana kriminālprocesā
  • atbilstība pienākumam izpaust informāciju BOP, CMVM vai nodokļu iestādēm, ja šīs organizācijas rīkojas saskaņā ar savām pilnvarām 1

Agrāk Portugāles datu aizsardzības iestāde (CNPD) kādā konkrētā lietā lēma, ka uz visiem bankas apstrādātajiem personas datiem attiecas bankas noslēpums.1

Attiecībā uz klientu datu apstrādi AML ziņošanas nolūkos konkrētu attiecīgo personas datu izpaušana ir balstīta uz juridiska pienākuma izpildi un līdz ar to nav jāsaņem datu subjekta piekrišana. Tā kā jēdziens “klienta atļauja” saskaņā ar PSEMLF un finanšu iestāžu tiesiskais regulējums atšķiras no jēdziena “piekrišana” saskaņā ar VDAR, daudzas bankas un citas finanšu iestādes izvēlas vākt klientu atļaujas bankas noslēpuma informācijas izpaušanai klientu vispārējo noteikumu un nosacījumu kontekstā.1

Vēl viens svarīgs datu apstrādes aspekts fintech biznesa kontekstā ir klientu profilēšana un biznesa segmentēšana, kā arī automatizēta lēmumu pieņemšana, kuras pamatā ir profilēšana. Nav pieļaujami nekādi automatizēti lēmumi, kas ietekmē vai būtiski ietekmē datu subjektu, pamatojoties tikai uz automatizētu datu apstrādi, kas izstrādāta, lai izvērtētu noteiktus personas aspektus, kas attiecas uz viņu.1

GDPR ieviesa jaunus noteikumus, lai novērstu riskus, kas saistīti ar profilēšanu un automatizētu lēmumu pieņemšanu. Pamatā saskaņā ar GDPR šāda veida lēmumu pieņemšana var notikt tikai tad, ja lēmums ir vai nu nepieciešams līguma noslēgšanai vai izpildei, vai arī ir atļauts saskaņā ar ES vai dalībvalsts tiesību aktiem, kas piemērojami pārzinim, vai visbeidzot, ja tas ir pamatots ar nepārprotamu piekrišanas sejas. Ja ir spēkā kāds no šiem pamatiem, ir jāievieš papildu drošības pasākumi, kā arī konkrētas informācijas izpaušana par automatizētu individuālu lēmumu pieņemšanu ietekmētajiem datu subjektiem attiecībā uz loģiku, nozīmi un paredzamajām sekām. 2020. gada janvārī, atbildot uz EP deputātes Sofijas in Veldas vēstuli par negodīgiem algoritmiem attiecībā uz to, vai GDPR ir pietiekams, lai aizsargātu datu subjektus no negodīgas automatizētas lēmumu pieņemšanas, EDAB uzsvēra, ka "pārziņiem ir pienākums apsvērt visu iespējamo. riskus, ko konkrēta algoritma izmantošana vai izveide potenciāli varētu radīt personu tiesībām un brīvībām, un, ja nepieciešams, veikt pasākumus šo risku novēršanai.1

Pastāv arī papildu ierobežojumi īpašu kategoriju datu (piemēram, veselības datu vai biometrisko datu) izmantošanai jebkurai personas datu apstrādei, kas galu galā var ietekmēt to, kā fintech uzņēmumi ievieš spēcīgus klientu autentifikācijas mehānismus saskaņā ar regulatīvi tehniskajiem PSD II standartiem. , jo regulatīvie tehniskie standarti prasa šajā kontekstā izmantot maksājumu pakalpojumu lietotāju biometriskos datus. CNPD ir konsekventi nospriedusi, ka finanšu dati ir sensitīvi dati tādā nozīmē, ka tie atklāj personas privātās dzīves aspektus, un tāpēc tie ir jāaizsargā ar Portugāles konstitūciju. Tā kā EDAB arī finanšu datus apstrādā kā ļoti personas datus, tas galu galā var ietekmēt to tehnisko un organizatorisko pasākumu stingrību, ko datu pārziņi un apstrādātāji veic, lai aizsargātu datus, kā arī vajadzību veikt datu pārbaudi. aizsardzības ietekmes novērtējums (DPIA) pirms datu apstrādes. Tādējādi finanšu datu apstrāde var radīt nepieciešamību pēc DPIA saskaņā ar CNPD regulu 1/2018, kurā ir uzskaitītas apstrādes darbības, uz kurām attiecas obligātais DPIA, jo regula attiecas uz tīri DPIA datu apstrādi. personiskā daba. četros no deviņiem gadījumiem.1

Neskarot iepriekš minēto, Portugāles tiesību akti, ar kuriem īsteno GDPR, stājās spēkā 2019. gada 8. augustā. Likums Nr.58/2019 ievieš dažus papildu pielāgojumus un ierobežojumus GDPR noteiktajos noteikumos, jo īpaši attiecībā uz mirušu personu personas datu apstrādi. , piemērojamie datu glabāšanas termiņi un nepilngadīgo personu piekrišana datu apstrādei. Jo īpaši un neskarot VDAR mērķa ierobežojuma principu, Likums Nr. 58/2019 ļauj datu pārziņiem vai apstrādātājiem saglabāt personas datus līdz jebkura likumā noteiktā noilguma termiņa beigām, kura laikā tiem var būt nepieciešams izmantot datus, lai pierādīt atbilstību juridiskajām vai līgumsaistībām.1

Ārvalstu fintech platformas Portugāles tirgū

Fintech Portugālē

Fintech citās valstīs

Iepazīstināsim jūs

Fintech juristi Portugālē

Kristina Berkes

Kristina Berkes

Piedalīšanās kā jurista ieguldījumu riska fondos, M&A riska darījumu veikšana IT jomā, atbalsts iGaming un biznesa aktīviem

Denis Polyakov

Denis Polyakov

Visaptveroši juridiskie pakalpojumi uzņēmumiem par uzņēmumu, nodokļu tiesībām, kriptovalūtas likumdošanu, investīciju darbībām

Viacheslav Losev

Viacheslav Losev

Juridiskais atbalsts FinTech un Blockchain projektiem

Piezīmes
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Ieteikums fintehnoloģiju startapiem

Ātrā starta cena - 399 ASV dolāri.

Mūsu risinājums bez koda ļauj jums izveidot savu kravfandēšanas platformu par 399 dolāriem mēnesī, pirmās divas nedēļas ir bez maksas, lai iepazītos ar platformu.