ms

Tinjauan Pasaran

Artikel ini bukan nasihat undang-undang.

Perlindungan data peribadi di Portugal

Laman utama

Syarikat Fintech mengumpul, mengawal dan memproses sejumlah besar data peribadi (termasuk data KYC) dan akibatnya tertakluk kepada peraturan privasi data di bawah Peraturan Perlindungan Data Am (GDPR), yang tidak terpakai hanya untuk syarikat fintech yang ditubuhkan. di EU, tetapi juga kepada syarikat yang ditubuhkan di luar EU jika mereka mempunyai pelanggan di EU dan pemprosesan data peribadi pelanggan dijalankan dalam konteks menawarkan perkhidmatan kepada subjek data ini, tidak kira sama ada pembayaran diperlukan daripada data subjek. Lembaga Perlindungan Data Eropah (EDPB) menjelaskan dalam Panduan 3/2018 mengenai skop wilayah GDPR, yang diterima pakai pada 16 November 2018, bahawa niat untuk menyasarkan pelanggan di EU adalah kunci untuk menilai sama ada entiti yang ditubuhkan di luar wilayah EU tertakluk kepada GDPR.1

Dalam sesetengah kes, pemprosesan data peribadi mungkin memerlukan persetujuan pelanggan. Medan persetujuan atau tarik diri yang ditandakan terlebih dahulu tidak akan dibenarkan lagi, kerana persetujuan mestilah dalam bentuk pernyataan atau tindakan afirmatif yang jelas. GDPR meletakkan kewajipan akauntabiliti yang membebankan pada pengawal data berhubung dengan bukti pematuhan, yang mewakili anjakan paradigma utama dalam rejim perlindungan data. Ini termasuk menjalankan penilaian kesan perlindungan data untuk operasi pemprosesan berisiko tinggi (seperti yang melibatkan pemprosesan data peribadi yang boleh digunakan untuk melakukan penipuan kewangan) dan melaksanakan perlindungan data secara reka bentuk dan lalai.1

Peraturan perlindungan data am ini dilengkapi dengan kerahsiaan bank dan peraturan AML yang perlu dipatuhi oleh syarikat fintech apabila menyediakan perkhidmatan kepada pelanggan mereka.1

Peraturan kerahsiaan bank menyatakan bahawa pendedahan data peribadi pelanggan yang dilindungi oleh kerahsiaan bank (termasuk pemindahan rentas sempadan) hanya dibenarkan dengan kebenaran pelanggan terlebih dahulu atau jika pendedahan diperlukan untuk mencapai salah satu daripada tindakan berikut:

  • pematuhan dengan kewajipan undang-undang yang mengehadkan tugas kerahsiaan ini secara nyata
  • pematuhan kepada keperluan badan kehakiman dalam prosiding jenayah
  • pematuhan dengan kewajipan untuk mendedahkan maklumat kepada BOP, CMVM atau pihak berkuasa cukai apabila organisasi ini bertindak mengikut kuasa mereka 1

Pada masa lalu, Pihak Berkuasa Perlindungan Data Portugis (CNPD) memutuskan dalam kes tertentu bahawa semua data peribadi yang diproses oleh bank tertakluk kepada kerahsiaan bank.1

Berkenaan dengan pemprosesan data pelanggan untuk tujuan pelaporan AML, pendedahan data peribadi khusus yang berkaitan adalah berdasarkan pemenuhan kewajipan undang-undang dan oleh itu tidak perlu mendapatkan persetujuan subjek data. Memandangkan konsep "kebenaran pelanggan" di bawah PSEMLF dan rangka kerja undang-undang institusi kewangan berbeza daripada konsep "persetujuan" di bawah GDPR, banyak bank dan institusi kewangan lain memilih untuk mengumpul kebenaran pelanggan untuk pendedahan maklumat kerahsiaan bank dalam konteks terma dan syarat am pelanggan mereka.1

Satu lagi aspek penting pemprosesan data dalam konteks perniagaan fintech ialah pemprofilan pelanggan dan pembahagian perniagaan, serta pembuatan keputusan automatik berdasarkan pemprofilan. Tiada keputusan automatik dibenarkan yang menjejaskan atau mempengaruhi subjek data dengan ketara, berdasarkan semata-mata pada pemprosesan data automatik yang direka untuk menilai aspek peribadi tertentu yang berkaitan dengannya.1

GDPR memperkenalkan peruntukan baharu untuk menangani risiko yang berkaitan dengan pemprofilan dan membuat keputusan automatik. Pada asasnya, menurut GDPR, jenis pembuatan keputusan ini hanya boleh berlaku jika keputusan itu sama ada perlu untuk kesimpulan atau pelaksanaan kontrak, atau dibenarkan oleh undang-undang EU atau Negara Anggota yang terpakai kepada pengawal, atau akhirnya berdasarkan eksplisit muka persetujuan. Jika salah satu daripada alasan ini terpakai, langkah keselamatan tambahan mesti dilaksanakan, serta pendedahan maklumat khusus tentang pembuatan keputusan individu automatik kepada subjek data yang terjejas mengenai logik, makna dan akibat yang dimaksudkan. Pada Januari 2020, sebagai tindak balas kepada surat daripada MEP Sophie dalam 't Veld mengenai algoritma tidak adil mengenai sama ada GDPR mencukupi untuk melindungi subjek data daripada membuat keputusan automatik yang tidak adil, EDPB menekankan bahawa "pengawal mempunyai kewajipan untuk mempertimbangkan semua potensi risiko yang mungkin diwujudkan oleh penggunaan atau penciptaan algoritma khusus untuk hak dan kebebasan individu, dan, jika perlu, mengambil langkah untuk menghapuskan risiko ini."1

Terdapat juga sekatan tambahan ke atas penggunaan kategori data khas (seperti data kesihatan atau data biometrik) untuk sebarang pemprosesan data peribadi, yang akhirnya boleh menjejaskan cara syarikat fintech melaksanakan mekanisme pengesahan pelanggan yang kukuh mengikut piawaian teknikal pengawalseliaan JPA II. , kerana piawaian teknikal kawal selia memerlukan penggunaan data biometrik pengguna perkhidmatan pembayaran dalam konteks ini. CNPD secara konsisten memutuskan bahawa data kewangan adalah data sensitif dalam erti kata ia mendedahkan aspek kehidupan peribadi seseorang dan oleh itu mesti dilindungi oleh Perlembagaan Portugis. Memandangkan data kewangan juga dianggap sebagai data yang sangat peribadi oleh EDPB, ini akhirnya boleh menjejaskan ketegasan langkah teknikal dan organisasi yang diambil oleh pengawal dan pemproses data untuk melindungi data, serta keperluan untuk menjalani pengesahan data. penilaian kesan perlindungan (DPIA) sebelum pemprosesan data. Oleh itu, pemprosesan data kewangan mungkin menimbulkan keperluan untuk DPIA mengikut Peraturan CNPD 1/2018, yang menyenaraikan aktiviti pemprosesan yang termasuk di bawah DPIA mandatori, memandangkan Peraturan itu merujuk kepada pemprosesan data semata-mata sifat peribadi. dalam empat daripada sembilan kes.1

Tanpa prejudis terhadap perkara di atas, perundangan Portugis yang melaksanakan GDPR berkuat kuasa pada 8 Ogos 2019. Undang-undang no. 58/2019 memperkenalkan beberapa pelarasan dan sekatan tambahan kepada peraturan yang ditetapkan dalam GDPR, khususnya berkaitan pemprosesan data peribadi orang yang telah meninggal dunia. , tempoh penyimpanan data yang berkenaan dan persetujuan kanak-kanak bawah umur untuk pemprosesan data. Khususnya, dan tanpa menjejaskan prinsip pengehadan tujuan GDPR, Undang-undang no. 58/2019 membenarkan pengawal atau pemproses data untuk mengekalkan data peribadi sehingga tamat sebarang tempoh pengehadan berkanun di mana mereka mungkin perlu menggunakan data untuk menunjukkan pematuhan terhadap kewajipan undang-undang atau kontrak.1

Platform fintech asing di pasaran Portugis

Fintech di Portugal

Fintech di negara lain

Mari kenalkan anda

Peguam Fintech di Portugal

Viacheslav Losev

Viacheslav Losev

Sokongan undang-undang untuk projek FinTech dan Blockchain

Kristina Berkes

Kristina Berkes

Penyertaan sebagai peguam dalam dana teroka pelaburan, menjalankan tawaran teroka M&A dalam bidang IT, sokongan untuk iGaming dan aset perniagaan

Denis Polyakov

Denis Polyakov

Perkhidmatan undang-undang yang komprehensif untuk perniagaan mengenai korporat, undang-undang cukai, perundangan mata wang kripto, aktiviti pelaburan

Nota
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Cadangan untuk startup dalam bidang fintech

Permulaan pantas pada harga $399

Penyelesaian kami tanpa kod membolehkan anda melancarkan platform crowdfunding anda dengan harga $399 sebulan, dengan tempoh percubaan percuma selama dua minggu untuk mengenali platform tersebut.